SMB 1.0 - невозможно зайти на общую папку по имени сервера
 

Привет!

Столкнулся со странностью: есть Windows Server 2003 с древней учётной системой, на которую заходят раз в несколько месяцев. Работа идёт через сетевые папки (по SMB 1.0, естественно).
Клиент сидит на Windows 7, последний раз заходил в конце ноября прошлого года.

Внезапно возникла проблема: нельзя зайти на сетевые папки, используя имя сервера, но можно, если использовать IP-адрес.
Т. е.,
\\server1\share - не работает (Unspecified error 0x80004005)
\\192.168.1.1\share - работает

По имени сервер пингуется, имя разрешается корректно.

То есть, проблема не в DNS и не в протоколе (по IP ведь заходит). Но в чём тогда?

Что пробовал:

1. Secpol.msc > Local Policies > Security Options > Microsoft network client: Digitally sign communications (always) => Disable (он и так уже был Disable) (ссылка)
2. Код:

   ---

   reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" /v AllowInsecureGuestAuth /t REG_DWORD /d 1
net stop LanmanWorkstation && net start LanmanWorkstation

   ---

(ссылка)

А по FQDN работает?

Нет, не работает. Когда пингуешь, NETBIOS-имя разрешается в FQDN, т. е., с DNS всё в порядке.

DJ Mogarych, покажите результаты с сервера и клиента:
и на обоих проверьте политики IPsec, не задано ли что-нибудь в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local

P.S. Также убедитесь, что служба Модуль поддержки NetBIOS через TCP/IP работает.

На сервере куча всего
nbtstat -n
ipconfig
Тот клиент сейчас выключен, проверить не могу. Но на моей десятке, где та же картина (SMB 1.0 установлен и есть доступ через IP-адрес), у меня нет никаких записей там.

На компьютерах служба lmhosts (Модуль поддержки NetBIOS через TCP/IP) работает.

Посмотрите, нет ли там ограничений для портов NetBIOS.

Ничего похожего на NetBIOS я там не обнаружил. :dont-know

DJ Mogarych, 137, 138, 139?

А в каком значении это должно быть?
Там куча параметров и в них белиберда какая-то типа
Это можно в каком-то более человеческом виде посмотреть где-то? Может, оснастка есть?

И если бы была такая политика, разве работало бы через IP-адрес?

DJ Mogarych, в оснастке (secpol.msc, Политики IP-безопасности).

Ну если 445 порт открыт.

Все политики имеют статус "Не назначены", а время последнего изменения - декабрь 2003 г.

Файрволл полностью выключен.

Наиболее вероятное объяснение, которое я нашёл:
Непонятно пока, как это решать.

UPD: похоже, дело в KB5021249, выпущенном в ноябре 2022.
https://superuser.com/questions/1754...ver-2003-share
Пока единственное решение - снести этот патч, либо ждать фикса, которого может и не быть.

Тут ещё и непонятно, что сносить, без поллитра не разберёшься (апдейты с ноября).

Хотелось бы, конечно, без сноса апдейтов.
Проблема ещё в том, что на имя сервера много что завязано, поэтому просто по IP подключаться просто так не выйдет.

а древний костыль в виде записи в /etc/hosts не подойдет? ;)

Я тоже об этом подумал. Проверил - к сожалению, нет.

как я понял, это патч для серверной ОС, не 2003й и не клиентских "семёрок" и "десяток". Т.е. этот патч устанавливается на контроллер домена под 2022м сервером, и после этого доступ к рядовым 2003м по имени становится невозможным. В вашем случае доступ вроде как напрямую, без КД, да и номер патча не совпадает. Кстати, а с клиентской "десятки" на этот же 2003й зайти можете?

ПыСы. Вот чё нашел - чел пишет, что если отключить smb2/3, то зайти таки можно будет:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi

sc.exe config mrxsmb20 start= disabled

ПыСы 3 раза )) Проверил на виртуалке - клиент 7 максимальная, сборка 7601, сервис-пак 1 + все обновления по 13 янв. 2023,
сервер 2003 R2, сборка 3790.srv03_sp2_rtm.070216-1710 Service Pack 2, обновлений нет.
Всё работает без лишних движений, хоть по адресу, хоть по имени.

Это патч для контроллера домена, не только для 2022-го сервера.
Всё работало до ноября 2022 г. Доступ с КД, т. к. обе машины доменные. Дело в том, что при обращении к IP-адресу используется NTLM, и тогда всё работает, а если по имени - то это уже Kerberos, и тут облом.

Ни с какой машины зайти не могу по имени, и работает отовсюду по IP.

К сожалению, отключать SMB 2/3 не вариант, т. к. на клиентской тачке пользуются не только этим копролитом мамонта, но и вполне современными файловыми ресурсами.

Проблема характерна, видимо, только для доменного окружения и, наверное, не лечится ничем, кроме как избавлением от ОС двадцатилетней давности.

Угу, два года "Microsoft" предупреждала - почти год патчила "Kerberos".
А контроллер у Вас один? Под какой системой?
Или имеется какой, другой?

Я Сам испытываю проблему на контроллере "W2008", но пока никаким образом от оного уйти не могу - жду миграцию на "W2012R2" или на "SAMBA-DC".

3 шт, все под 2012 R2.

Там ситуация обратная, нет доступа по IP...

Итого, в комплексе:
если такая картина на всех клиентах, то "ковырять" надо сервер и если ранее всё работало, то ковырять надо таки апдейты...
Поэтому, как бы ни хотелось обойтись без этого:
раз уж не помогают распространенные рецепты типа:
1. раз
2. два
3. три
ну и тут, и тут по кучке советов... думаю, ты и сам их видел пока искал решения...
всё же, придется использовать "метод научного тыка", то бишь сносить апдейты, проверять, восстанавливать апдейты пошагово, вручную и проверять какой из них породил эту ошибку...
и это вероятнее всего, ибо поддержка осуществляется, видимо, никак от слова совсем...

перенеос на новый сервер очень проблематичен по сравнению с
?
Я бы взвесил все "за" и "против", что скажете?
У самого есть такой 2003й, еле шевелится на костылях, всё никак не переедем... ибо раз в месяц бывает нужен этот копролит, а переность всё довольно гиморно.

Естественно... сначала 7 раз отмерить (попытаться поискать менее радикальные рецепты, тем более, не факт, что это поможет...), но если выхода другого не будет, как крайний вариант.
Попадался вариант похожий на описываемый случай, но там доступ по имени (при доступности по IP) пропадал периодически и наоборот от сервера на другие машины... кажется, там вопрос решился очисткой кэша DNS. Сомневаюсь, что здесь это поможет.

Я бы не стал сносить апдейты с контроллера, тем более, что обновления эти поэтапно будут делаться до октября 2023.
Лучше избавляться от старья.

И я к тому же.
На мой взгляд, ниже 2012-го смотреть не стоит, ибо они тоже скоро уйдут туда же, куда уже ушел 2003й :biggrin:

В общем, решилось так: клиентскую часть я водрузил на сервер и дал юзеру доступ туда по RDP.

Софт - Галактика 5.8.
При запуске ругается, что "используется SQL Server ODBC Driver 03.86.1830, программа может работать некорректно", но работает.

Цитата:

Цитата DJ Mogarych водрузил на сервер и дал юзеру доступ туда по RDP »

это ж не наш путь! :not-me:
в моем случае, кроме всего прочего, нужно делать экспорт в экселовские таблицы, а нужный компонент работает только под 32-битный 2003й, на 2008, например, он даже не ставится. Софт вроде как ещё "на Дельфях" писан в каком-то 1990-лохматом году. Так что вам еще повезло ;)
На оф. сайте есть свежий драйвер, но версия - Release number: 18.1.2.1. Я бы не рискнул обновлять ))

Почему не наш путь? Юзер бесправный же, и заходит туда раз в 3 месяца.